虚拟 Web 服务器配置 dmz

虚拟 Web 服务器配置 dmz

我有 2 台带 Esxi 的 rx300 服务器,我想将其中一台用作 Web 虚拟服务器,并运行 2 台虚拟机:
- 邮件服务器
- 用于企业网站和电子商务的 WEB 服务器。esxi
服务器具有带 SAN 的 iscsi 配置,到目前为止,所有内容都位于企业其余部分的同一 LAN 中(物理连接到中央 LAN 交换机)。我有一个带 DMZ 端口和 DMZ 配置的路由器/防火墙。

我的问题是:
我是否必须通过将 Esxi+SAN 物理连接到连接到防火墙 DMZ 端口的新交换机,将所有 Esxi+SAN 放在 DMZ 中?或者我可以让 Esx+SAN 保持连接到 LAN 侧交换机的状态,并在防火墙上进行一些安全配置以获得相同的安全级别?
在这种情况下,最佳做法是什么?
将来,我还想将此 Esxi 服务器用于在 LAN 侧运行应用程序的虚拟机。
是否可以建立混合基础架构?

答案1

理想情况下,您希望存储流量位于完全专用/隔离的网络上。存储流量在隐私和性能方面都可能非常敏感,因此将其与其他流量分开始终是一个好主意。

此外,为了获得更好的安全性和性能,管理网络和公共网络应该分开(例如,在进行 vmotion 时,您不会想利用公共 gbit NIC)。

所以我的建议是:

为存储流量使用单独的交换机/网卡。
为 LAN 和管理流量使用单独的网卡。
为公共流量使用单独的网卡。

对于公共和局域网流量,您可以使用相同的托管交换机,并使用 VLAN 分离流量。不过,最好为每种类型的流量使用单独的交换机。

为了说清楚起见,我并不是说使用单个物理 NIC 来传递管理和 LAN 流量,而是使用连接到同一交换机的不同 VLAN(访问)端口上的多个 NIC。

相关内容